本申請提供一種策略下發方法及裝置，所述方法包括：當向任一網絡安全設備下發安全策略失敗時，保存下發失敗的安全策略，并生成對應于該安全策略的策略標識；建立下發失敗的網絡安全設備的設備標識與下發失敗的所述安全策略的策略標識的關聯關系，并將所述關聯關系添加至預設的失敗隊列中；基于預設的重發時間間隔，周期性地讀取所述失敗隊列中的策略標識以及設備標識，并將與讀取到的所述策略標識關聯的安全策略，重新下發至與讀取到的所述設備標識對應的網絡安全設備。在本申請實施例中，設備管理服務端可以自動對下發失敗的安全策略進行重新下發，從而使網絡安全設備及時獲得該安全策略，確保網絡安全設備可以基于下發的安全策略保護網絡。

技術領域

本申請涉及安全防護領域，特別涉及一種策略下發方法及裝置。

背景技術

網絡安全設備的使用越來越廣泛，常見的網絡安全設備包括防火墻設備、DDOS(Distributed denial of service attack，分布式拒絕服務攻擊)檢測及防護設備等。在存在大量網絡安全設備的情況下，通常利用設備管理服務端統一管理控制這些網絡安全設備，由設備管理服務端向網絡安全設備下發安全策略。

然而，當安全策略下發失敗時，目前通常僅向用戶提示該安全策略下發失敗，而并不會執行其它操作，因此可能會導致上述網絡安全設備缺乏必要的安全策略，從而無法正常保護網絡的問題。

發明內容

有鑒于此，本申請提供一種策略下發的方法及裝置，用以解決當設備管理服務端向網絡安全設備下發安全策略失敗時，因缺乏必要的操作，可能導致上述網絡安全設備缺乏必要的安全策略，從而無法正常保護網絡的問題。

具體地，本申請是通過如下技術方案實現的：

一種策略下發方法，應用于設備管理服務端，所述設備管理服務端用于面向與其對接的若干臺網絡安全設備下發安全策略，包括：

當向任一網絡安全設備下發安全策略失敗時，保存下發失敗的安全策略，并生成對應于該安全策略的策略標識；

建立下發失敗的網絡安全設備的設備標識與下發失敗的所述安全策略的策略標識的關聯關系，并將所述關聯關系添加至預設的失敗隊列中；

基于預設的重發時間間隔，周期性地讀取所述失敗隊列中的策略標識以及設備標識，并將與讀取到的所述策略標識關聯的安全策略，重新下發至與讀取到的所述設備標識對應的網絡安全設備。

在所述策略下發方法中，所述失敗隊列中還包括對應于下發失敗的所述安全策略的重發次數；其中，所述重發次數的初始值為零；

所述方法還包括：

當將從所述失敗隊列中讀取到的所述策略標識關聯的安全策略，重新下發至與讀取到的所述設備標識對應的網絡安全設備后，將與下發成功的安全策略關聯的所述策略標識以及所述設備標識的關聯關系從所述失敗隊列中刪除；

當將從所述失敗隊列中讀取到的所述策略標識關聯的安全策略，重新下發至與讀取到的所述設備標識對應的網絡安全設備后，將與下發失敗的所述安全策略對應的重發次數加一。

在所述策略下發方法中，還包括：

判斷所述失敗隊列中是否存在策略標識和設備標識；

如果不存在，停止重新下發動作。

在所述策略下發方法中，還包括：

判斷所述失敗隊列中的各安全策略對應的重發次數是否達到預設的重發次數上限閾值；

當所述失敗隊列中的任一安全策略對應的重發次數達到預設的重發次數上限閾值時，向用戶輸出對應于該安全策略的告警提示。

在所述策略下發方法中，所述預設的重發時間間隔，包括一系列成等比數列的重發時間間隔時長。